Le infrastrutture IT aziendali sono sempre più complesse.
Fino a poco tempo fa, le organizzazioni dovevano gestire solo un numero limitato sistemi legacy.
Con l'avvento della Digital Transformation, e l’ascesa di trend come IoT, SaaS, big data, social, mobile, cloud e APIs (i “big 7 technology drivers”) , il numero di applicazioni, dati e dispositivi utilizzati quotidianamente nelle organizzazioni continua a crescere in modo esponenziale.
Trend come il Bring your own device (BYOD) complicano ulteriormente la situazione.
Non sorprende quindi il risultato della ricerca Connectivity Benchmark 2018
Oltre il 75% degli IT Manager Affermano di non Essere Riusciti a Consegnare tutti Progetti Richiesti dall'Azienda nell’Ultimo Anno.
Gli oltre 650 IT Manager coinvolti nella ricerca affermano che il proprio carico di lavoro aumenta in modo costante (almeno del 27% rispetto all’anno precedente), mentre budget e risorse rimangono, nei casi più fortunati, stabili.
L'IT Delivery GAP (la capacità dell'Area IT di far fronte alle richieste dell'Azienda) si allarga sempre di più.
🔽
In Questo Nuovo Ecosistema Digitale Sempre più Complesso, ha ancora Senso l'Antivirus?
Il concetto di antivirus, com’era noto sin dal lancio delle prime soluzioni nel 1987, è diventato obsoleto all’inizio di questo decennio. I leader di settore hanno iniziato a notare un calo delle soluzioni antivirus intorno al 2012.
La quantità di malware è aumentata esponenzialmente fino al 2014, quando Brian Dye, senior vice president for Information Security di Symantec, ha dichiarato al Wall Street Journal che l’antivirus era ufficialmente “morto”.
In molti non presero sul serio quell’affermazione.
Dopo tutto, gli antivirus sono ancora sul mercato, ma, dando uno sguardo alla tendenza delle tipologie di malware dal 2016 in poi, si vede chiaramente che la situazione è diventata troppo complessa per i metodi di difesa tradizionali.
🔽
Come Funzionano gli AntiVirus Tradizionali?
- Viene scoperta una nuova variante di virus o malware;
- Un produttore di antivirus crea una nuova firma che protegge da quel particolare malware;
- La firma viene sottoposta a test e quindi inviata ai clienti sotto forma di aggiornamento delle signature.
Già nel 2016 si registravano quasi 600 milioni di campioni di malware unici, con un aumento di 300 milioni rispetto all’anno in cui "l’antivirus è morto".
Un aumento così drastico supera di gran lunga le capacità del settore di rispondere individualmente a ogni singola minaccia, creando una nuova firma per ogni singolo malware: il cyber-crime innova a una velocità superiore rispetto a quanto riesca a fare l'industria della sicurezza.
🔽
Quantità e Livello di Sofisticazione del Malware Sono in Costante Aumento
A complicare ulteriormente la situazione, le tecniche di difesa avanzate utilizzate a livello Enterprise hanno iniziato a circolare in rete e le comunità hacker hanno sviluppato nuove modalità per aggirare le più diffuse soluzioni per la protezione dei dispositivi.
Nel settore dell'Information Security, sappiamo bene che la maggior parte degli hacker sono in realtà "script kiddies" che seguono le indicazioni di utenti più esperti. Ultimamente però anche gli "script kiddies" hanno affinato le proprie conoscenze su nuovi strumenti e tecniche. Gli hacker esperti, a loro volta, sono diventati ancora più pericolosi e stanno spesso utilizzando un codice avanzato ereditato dalle agenzie di intelligence.
La quantità e il livello di sofisticazione dei malware hanno di gran lunga superato le possibilità di difesa dei metodi tradizionali. In un mondo in cui ogni giorno nascono nuove minacce, le soluzioni di protezione non si possono limitare a contrastare i malware conosciuti, ma devono essere in grado di prevenire attacchi complessi e zero-day (una funzionalità che gli antivirus tradizionali non possono di fatto offrire).
🔽
Le Soluzioni di Nuova Generazione, per Rispondere alle Mancanze degli Antivirus Tradizionali, Risolvono Davvero il Problema?
Gli antivirus tradizionali rispondono solo a minacce e malware conosciuti, mentre, come abbiamo visto, le nuove minacce aumentano esponenzialmente.
Per rispondere a questo problema critico, sono nate nuove soluzioni che possiamo ricondurre a 3 categorie: soluzioni di rilevamento e risposta (EDR), antivirus di nuova generazione (NGAV) e soluzioni per la protezione dei dispositivi di nuova generazione (NGEP).
🔽
Soluzioni di Rilevamento e Risposta (Endpoint Detection and Response – EDR)
L’EDR è diventata un’industria da 490 milioni di dollari negli ultimi anni. Invece di rilevare firme di malware, l’EDR si concentra su indicatori di compromissione (IOCs).
Ciò include un componente di rilevamento comportamentale – idealmente, una piattaforma EDR rileverà automaticamente un’anomalia di comportamento, isolando il dispositivo infetto, analizzando il sistema e ripristinando eventuali modifiche dannose. Non tutte le piattaforme EDR sono in grado di portare a termine con successo questo tipo di strategia.
Le soluzioni EDR presenti sul mercato necessitano inoltre di intervento umano nel ciclo di esecuzione e il personale deve essere altamente specializzato.
Questa problematica non è da poco perché di fatto le soluzioni EDR necessiteranno sempre di intervento umano nel corso del tempo, perché non sono in grado di dare protezione contro malware più avanzati, per non parlare di altre tipologie di attacchi informatici, come exploit o attacchi script-based.
Per fare un esempio, il 38% di tutti gli attacchi ora impiega PowerShell, ma non tutte le soluzioni EDR sono in grado di rilevare questi attacchi (come non sono in grado di identificare i malware fileless, categoria in costante aumento). Infine, le soluzioni EDR tentano di isolare il malware "intrappolandolo" all’interno di macchine virtuali, ma già molte tipologie di malware sono in grado di sfuggire a tattiche di sandboxing.
🔽
Antivirus di Nuova Generazione (NGAV)
Le soluzioni antivirus di nuova generazione sfruttano algoritmi basati su Machine Learning per analizzare i file compressi. Se l’algoritmo rileva delle anomalie nel file, l’antivirus si attiva per mitigare e correggere automaticamente le parti danneggiate.
Di nuovo, siamo di fronte allo stesso problema delle soluzioni EDR: se il malware è di tipologia fileless, l’antivirus non è in grado di rilevarlo. Inoltre, una soluzione basata su algoritmi richiede aggiornamenti costanti e quindi l’impiego di personale specializzato.
In conclusione, sia le soluzioni EDR che NGAV presentano le stesse problematiche: richiedono costanti interventi da parte degli utenti e non sono efficaci contro minacce non note. L’aumento esponenziale di nuove tipologie di malware sempre più sofisticati richiede assolutamente un approccio diverso per la messa in sicurezza di dispositivi.
🔽
Soluzione per la Protezione dei Dispositivi di Nuova Generazione (NGEP)
Quando ci siamo trovati ad affrontare uno dei più grandi progetti infrastrutturali in Italia, che coinvolgeva la protezione di circa 5.000 endpoint, abbiamo dovuto scegliere una soluzione ottimale che proteggesse tutti i dispositivi da ogni tipologia di minaccia, compresi i malware fileless e gli attacchi zero-day.
La soluzione avrebbe dovuto prevenire ogni attacco ad ogni stadio di vita del malware, anticipandolo prima che venga eseguito, proteggendo i sistemi mentre è in esecuzione e dopo che è stato eseguito.
Risultati di test avanzati effettuati per oltre sei mesi da agenzie indipendenti come NSS labs, AVTest, PassMark e Mitre hanno evidenziato SentinelOne come la soluzione più affidabile, con un Security Effectiveness Ratings del 99.79%.
Falsi Positivi – 0
HTTPS malware – 100% protection
Email – 100% protection
P2P – 100% protection
Local intelligence – 100% protection
Exploits – 100% protection
Blended threats – 100% protection
Gli aspetti che abbiamo dovuto considerare sono stati:
↪ Efficacia: SentinelOne ha sviluppato un approccio radicalmente nuovo alla sicurezza degli endpoint, applicando innovativi algoritmi di apprendimento automatico basati su Machine Learning e Intelligenza Artificiale, ed automatizzando l'intero processo di risposta agli incidenti. Come abbiamo visto, il risultato è un Security Effectiveness Ratings del 99.79%.
↪ Completezza: SentinelOne è l'unica soluzione che offriva una singola piattaforma completa ed integrata per prevenzione, rilevamento, risposta, remediation ed analisi forense.
↪ Flessibilità: SentinelOne è in grado di proteggere i sistemi Windows, MacOS e Linux allo stesso modo, e, poiché la protezione avviene tramite un agente autonomo indipendente dalla connessione di rete, può persino proteggere i sistemi air-gapped. È una soluzione leggera che protegge i dispositivi senza compromettere le prestazioni.
↪ Visibilità: L’analisi comportamentale che fa leva sul sistema di Machine Learning rileva e neutralizza minacce conosciute e sconosciute automaticamente, ma, allo stesso tempo, le funzionalità di analisi forense permettono di visualizzare i percorsi di attacco in profondità con il massimo dettaglio.
↪ Garanzia: SentinelOne offre fino a 1 milione di dollari di polizza assicurativa contro gli attacchi ransomware.
↪ Semplicità di Utilizzo: SentinelOne si evolve automaticamente in base alle minacce e protegge la rete e i dispositivi in tempo reale e in modo completamente automatico, liberando quindi tutto il team IT da una gestione e manutenzione di soluzioni per la sicurezza troppo complessa.
Approfondimenti e Maggiori Informazioni
Le soluzioni antivirus tradizionali non sono più sufficienti per difendere reti e dispositivi dalla quantità e complessità in costante crescita degli attacchi informatici moderni.
È quindi sempre più importante poter contare su soluzioni che garantiscano automazione, scalabilità ed estrema semplicità di gestione.
Se vuoi maggiori informazioni sul perché abbiamo scelto SentinelOne come soluzione alternativa ideale ai più comuni sistemi antivirus:
⏩ Scarica la brochure e gli approfondimenti su SentinelOne
⏩ Scarica il Case Study del progetto di Cyber Security per Alha Group
⏩ Richiedi una Demo Gratuita, personalizzata sulle esigenze della tua Azienda
Per qualsiasi domanda, dubbio o curiosità, scrivi qui sotto la tua domanda e ti risponderemo subito!
